收藏
下载资源

证券期货业网络关于安全通用要求和安全扩展要求的选择和使用

上传人:木92****502 文档编号:137258712 上传时间:2020-07-06 格式:PDF 页数:4 大小:341.62KB
返回 下载 相关 举报
证券期货业网络关于安全通用要求和安全扩展要求的选择和使用_第1页
第1页 / 共4页
证券期货业网络关于安全通用要求和安全扩展要求的选择和使用_第2页
第2页 / 共4页
证券期货业网络关于安全通用要求和安全扩展要求的选择和使用_第3页
第3页 / 共4页
证券期货业网络关于安全通用要求和安全扩展要求的选择和使用_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《证券期货业网络关于安全通用要求和安全扩展要求的选择和使用》由会员分享,可在线阅读,更多相关《证券期货业网络关于安全通用要求和安全扩展要求的选择和使用(4页珍藏版)》请在金锄头文库上搜索。

1、JR/T 0060XXXX 70 附录A (规范性附录) 关于安全通用要求和安全扩展要求的选择和使用 由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即 更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注 保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。 不同级别的等级保护对象, 其对业务信息的安全性要求和系统服务的连续性要求是有差异的, 即使 相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。 等级保护对象定级后,可能形成的定级结果组合见表A.1。 表

2、A.1等级保护对象定级结果组合 安全保护等级定级结果的组合 第一级S1A1 第二级S1A2,S2A2,S2A1 第三级S1A3,S2A3,S3A3,S3A2,S3A1 第四级S1A4,S2A4,S3A4,S4A4,S4A3,S4A2,S4A1 第五级S1A5,S2A5,S3A5,S4A5,S5A4,S5A3,S5A2,S5A1 安全保护措施的选择应依据上述定级结果, 本标准中的技术安全要求进一步细分为: 保护数据在存 储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统 连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A

3、); 其他安全保护类要求(简记为G)。本标准中所有安全管理要求和安全扩展要求均标注为G,安全要求及 属性表示见表A.2。 表 A.2安全要求及属性标识 技术/管理分类安全控制点属性标识 安全技术要求安全物理环境 物理位置选择G G 物理访问控制G G 防盗窃和防破坏G G 防雷击G G 防火G G 防水和防潮G G 防静电G G 温湿度控制G G 电力供应A A JR/T 0060XXXX 71 表 A.2 安全要求及属性标识(续) 技术/管理分类安全控制点属性标识 安全技术要求 安全物理环境电磁防护S S 安全通信网络 网络架构G G 通信传输G G 可信验证S S 安全区域边界 边界防护G

4、 G 访问控制G G 入侵防范G G 可信验证S S 恶意代码防范G G 安全审计G G 安全计算环境 身份鉴别S S 访问控制S S 安全审计G G 可信验证S S 入侵防范G G 恶意代码防范G G 数据完整性S S 数据保密性S S 数据备份恢复A A 剩余信息保护S S 个人信息保护S S 安全管理中心 系统管理G G 审计管理G G 安全管理G G 集中管控G G 安全管理要求安全管理制度 安全策略G G 管理制度G G 制定和发布G G JR/T 0060XXXX 72 表 A.2 安全要求及属性标识(续) 技术/管理分类安全控制点属性标识 安全管理要求 安全管理制度评审和修订G

5、G 安全管理机构 岗位设置G G 人员配备G G 授权和审批G G 沟通和合作G G 审核和检查G G 安全管理人员 人员录用G G 人员离岗G G 安全意识教育和培训G G 外部人员访问管理G G 安全建设管理 定级和备案G G 安全方案设计G G 产品采购和使用G G 自行软件开发G G 外包软件开发G G 工程实施G G 测试验收G G 系统交付G G 等级测评G G 服务供应商管理G G 安全运维管理 环境管理G G 资产管理G G 介质管理G G 设备维护管理G G 漏洞和风险管理G G 网络与系统安全管理G G 恶意代码防范管理G G 配置管理G G JR/T 0060XXXX 7

6、3 表 A.2 安全要求及属性标识(续) 技术/管理分类安全控制点属性标识 安全管理要求安全运维管理 密码管理G G 变更管理G G 备份与恢复管理G G 安全事件处置G G 应急预案管理G G 外包运维管理G G 对于确定了级别的等级保护对象,应依据表A.1的定级结果,结合表A.2使用安全要求,应按照以下 过程进行安全要求的选择: a)根据等级保护对象的级别选择安全要求。方法是根据本标准,第一级选择第一级安全要求,第 二级选择第二级安全要求,第三级选择第三级安全要求,第四级选择第四级安全要求,以此作 为出发点。 b)根据定级结果, 基于表 A.1 和表 A.2 对安全要求进行调整。 根据系统

7、服务保证性等级选择相应 级别的系统服务保证类(A 类)安全要求;根据业务信息安全性等级选择相应级别的业务信息 安全类(S 类)安全要求;根据系统安全等级选择相应级别的安全通用要求(G 类)和安全扩 展要求(G 类)。 c)根据等级保护对象采用新技术和新应用的情况, 选用相应级别的安全扩展要求作为补充。 采用 云计算技术的选用云计算安全扩展要求, 采用移动互联技术的选用移动互联安全扩展要求, 物 联网选用物联网安全扩展要求,工业控制系统选用工业控制系统安全扩展要求。 d)针对不同行业或不同对象的特点, 分析可能在某些方面的特殊安全保护能力要求, 选择较高级 别的安全要求或其他标准的补充安全要求。 对于本标准中提出的安全要求无法实现或有更加有 效的安全措施可以替代的, 可以对安全要求进行调整, 调整的原则是保证不降低整体安全保护 能力。 总之,保证不同安全保护等级的对象具有相应级别的安全保护能力,是安全等级保护的核心。选用 本标准中提供的安全通用要求和安全扩展要求是保证等级保护对象具备一定安全保护能力的一种途径 和出发点,在此出发点的基础上,可以参考等级保护的其它相关标准和安全方面的其他相关标准,调整 和补充安全要求,从而实现等级保护对象在满足等级保护安全要求基础上,又具有自身特点的保护。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 模板/表格

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号